.\" URL: http://selinux-i18n-manpages.googlecode.com/svn/trunk/upstream/refpolicy/man8/samba_selinux.8
.\" Revision: 4
.\" ---- Changelog
.\" Update: 2007-10-04 KaiGai Kohei <kaigai@ak.jp.nec.com> - Initial version
.\" 
.TH  "samba_selinux"  "8"  "17 Jan 2005" "dwalsh@redhat.com" "Samba 向け SELinux ポリシー文書"
.SH "名前"
samba_selinux \- Samba 向け SELinux ポリシー
.SH "説明"

SELinux (Security-Enhanced Linux) は、細粒度の強制アクセス制御によって Samba サーバをセキュアにする。

.SH FILE_CONTEXTS
SELinuxを利用するには、ファイルが自身のタイプを定義するために拡張属性(XATTR)を持つ事が必要である。
セキュリティポリシーは、デーモンがこれらのファイルへアクセスすることを制御する。
Sambaによってホームディレクトリを除くファイルを共有しようとするならば、これらのファイル・ディレクトリはsamba_share_tとラベル付けされる必要がある。
例えば、Samba共有のために/var/engディレクトリを作成したら、chconコマンドを用いてこのディレクトリをラベル付けしなければならない。
.TP
chcon -t samba_share_t /var/eng
.TP
ファイルのラベルはrestorecon(8)によって再設定される場合がある。このラベル付けを永続的なものとするためには、file_contexts.local ファイルに以下のようなエントリを追加しなければならない。
.TP
/etc/selinux/POLICYTYPE/contexts/files/file_contexts.local
.br
/var/eng(/.*)? system_u:object_r:samba_share_t

.SH SHARING FILES
複数のドメイン(Apache, FTP, rsync, Samaba)がファイルを共有する場合、これらのファイルを public_content_t 又は public_content_rw_t にラベル付けしなければならない。
上記のデーモン群は、これらのタイプのファイルを読むことが可能である。
もし、特定のドメインに public_content_rw_t タイプへの書込み権限を与えたいのであれば、適切な条件変数を設定すしなければならない。
条件変数 allow_DOMAIN_anon_write は、DOMAIN の public_content_rw_t タイプへの書込みを許可する。したがって、Sambaに対しては以下の設定を行なう必要がある。

setsebool -P allow_smbd_anon_write=1

.SH "条件変数(BOOLEANS)"
.br
Samba用のSELinuxポリシーは、最小権限の考え方に基づいてカスタマイズ可能である。したがって、デフォルト状態のSELinuxポリシーは、ホームディレクトリの共有とリモートのSamba共有をホームディレクトリとして利用することを禁止している。
.TP
ホストをSambaサーバとしてセットアップし、ホームディレクトリの共有を行ないたいと考えているのなら、条件変数samba_enable_home_dirsをセットしなければならない。
.br

setsebool -P samba_enable_home_dirs 1
.TP
リモートのSambaサーバをローカルのホームディレクトリとして利用したいと考えているなら、条件変数use_samba_home_dirsをセットしなければならない。
.br 

setsebool -P use_samba_home_dirs 1
.TP
GUIツールであるsystem-config-selinuxを用いて、SELinuxのポリシー設定をカスタマイズすることも可能である。

.SH "著者"
このページは Dan Walsh <dwalsh@redhat.com> が執筆した。
.br
翻訳は KaiGai Kohei <kaigai@ak.jp.nec.com> が行なった。

.SH "関連項目"
selinux(8), samba(7), chcon(1), setsebool(8)
